Chuyển đến nội dung chính

Cấu hình Syslog

Triển khai

  • Triển khai Glasswall Halo (với syslog-ng) từ OVA/VHD (theo hướng dẫn tiêu chuẩn).
  • Cho phép lưu lượng truy cập đến từ máy ảo Glasswall Halo tới cổng của máy chủ syslog (thường là TCP 514) trong nhóm bảo mật.

Cấu hình dịch vụ syslog-ng trên máy ảo Glasswall Halo

Glasswall Halo OVA/VHD có tùy chọn cài đặt và cấu hình dịch vụ syslog-ng. Sau khi phiên bản Glasswall Halo đã được khởi chạy và hoạt động, hãy làm theo các bước dưới đây:

  1. Đảm bảo máy ảo Glasswall Halo đã được đăng ký với RHEL để có thể cài đặt các gói từ internet.
  2. Bắt đầu cài đặt và cấu hình script syslog-ng bằng:
sudo bash ~/syslog-ng-install.sh
  1. Sau khi hoàn tất, hãy thực hiện các bước tiếp theo dưới đây:
sudo bash ~/syslog_setup.sh
Enter IP address of Syslog server: <Syslog server IP>
Enter Port of Syslog server: <Syslog server port>
Configuring Syslog server details.....
....

  1. Từ thời điểm này, tất cả log sẽ được chuyển tiếp đến máy chủ Syslog và được lưu trong tệp log tương ứng trên máy chủ Syslog đã được cấu hình để nhận log từ xa. Bao gồm:

    • Log VM Glasswall Halo (được lưu trong /mnt/logging_data)
    • Tất cả log container: (được lưu trong/var/log/containers)
    • Log pod: (được lưu trong /var/log/pods)

  2. Xác minh kết nối tới máy chủ syslog bằng lệnh CLI sau:

$ loggen -i -S -P <Syslog server IP> <Syslog server port>
count=1853, rate = 951.87 msg/sec
count=2329, rate = 951.65 msg/sec...

Cấu hình TLS syslog-ng trên các VM Glasswall Halo

Trong trường hợp máy chủ Syslog từ xa sử dụng truyền tải TLS, cần thực hiện các thay đổi cấu hình sau trên máy Glasswall Halo.

  1. Đặt root ca của chứng chỉ máy chủ tại một vị trí trên máy Glasswall Halo (ví dụ: tại /opt/syslog-ng/etc/syslog-ng/ca.d).

  2. Trong tệp cấu hình syslog-ng tại (/etc/syslog-ng/syslog-ng.conf), chỉnh sửa dòng số 42-0 Từ: destination remote tcp("..." port(**));;

  3. Thành: destination remote network("..." port(**) Transport("tls") Tls( ca-dir("/opt/syslog-ng/etc/syslog-ng/ca.d") Peer-verify(optional-untrusted) ) ); ;

  4. Trong đó:

  • Port phải là cổng TLS của máy chủ syslog từ xa.
  • Peer-verify phải là optional-untrusted đối với CA không đáng tin cậy/tự ký hoặc required-trusted đối với CA đáng tin cậy.
  • Khởi động lại syslog-ng bằng các lệnh bên dưới:
sudo systemctl restart syslog-ng
sudo systemctl restart gwsyslog.service

syslog-ng của Glasswall trên máy Glasswall Halo giờ đây sẽ được kết nối với máy chủ syslog từ xa và gửi nhật ký bảo mật qua cổng TLS.

Cập nhật lần cuối vào